ESET PROTECT dapat mengekspor log/event tertentu dan mengirimkannya ke server Syslog Anda. Peristiwa yang dihasilkan dari komputer klien (misal, Endpoint Security) dapat ditampilkan ke server Syslog diantaranya adalah: Deteksi, Firewall, HIPS, Audit, dan ESET Inspect. Peristiwa ini dapat diproses oleh solusi SIEM apa pun yang mampu mengimpor peristiwa dari server Syslog dalam hal ini dengan AlienVault OSSIM. Berikut petunjuk integrasinya:
- Pastikan AlienVault sudah terinstal dan berjalan dengan baik dan bisa login ke console AlienVault OSSIM.
- Masuk ke ESET Protect Console lalu ke menu (…) more – Settings – Advanced Settings lalu setup seperti gambar dibawah ini.
- Login ke console AlienVault, masuk ke menu Environment – Asset & Group – Asets – Add Assets – Add host, lalu masukkan informasi nama aset (dalam contoh eset-protect-new) dan isikan kolom IP Address dengan IP Server ESET Protect, lalu klik Save
- Klik ikon kaca pada hostname yang baru dibuat (eset-protect-new)
- Masuk ke tab menu Plugins lalu klik edit plugins, pilih kolom vendor dan model dengan Eset, lalu klik Save
- Tunggu beberapa saat, log event akan tampil seiring dengan adanya peristiwa pada Endpoint. Anda bisa melihat dashboard bahwa peristiwa mulai tercatat, silakan klik untuk mendapat informasi detil peristiwa pada tiap-tiap endpoint.
tested:
ESET Protect 9.1
AlienVault USM 5.8.11 x86_64